Понятие защиты информации. Система организационных мер защиты конфиденциальных сведений

     Министерство  образования Республики Беларусь

     БЕЛОРУССКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

     Исторический  факультет  

                       Кафедра источниковедения

     Специальность:  Документоведение и информационное обеспечение управления 
 

     Контрольная работа

Тема: «Понятие защиты информации. Система организационных мер защиты конфиденциальных сведений. Возможные угрозы утраты информации в процессе изготовления конфиденциальных документов» 
 

                     Преподаватель: Бобышев В.И. 
 
 
 
 
 
 
 

Минск, 2011 
 
 
 

     Понятие защиты информации

     … на сегодняшний день информация стала

     таким же стратегическим ресурсом, как газ,

     нефть, алмазы, золото. 

     В.В. Марущенко 

     В соответствии со ст. 2 Закона Республики Беларусь «Об информации, информатизации и защите информации» защита информации – это комплекс правовых, организационных и технических мер, направленных на обеспечение целостности (неизменности), конфиденциальности, доступности и сохранности информации от неправомерного (несанкционированного) доступа, уничтожения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении защищаемой информации.

      Защищаемая  информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

      Собственником информации может быть государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

     Объект  защиты - информация или носитель информации или информационный процесс, в отношении  которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

     Целью защиты информации является:

     - предотвращение неправомерного доступа, уничтожения, блокирования, копирования, распространения и (или) предоставления, а также иных неправомерных действий в отношении информации;

     - предотвращение утечки защищаемой информации, неправомерных (несанкционированных) воздействий на защищаемую информацию;

     - защита прав граждан на сохранение информации, составляющей тайну личной жизни, и неразглашение персональных данных, содержащихся в информационных системах;

     - обеспечение прав субъектов информационных отношений при разработке, производстве и использовании информационных технологий, информационных систем и сетей, средств их обеспечения.

      Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база еще отстает от потребностей практики. Имеющиеся законы и указы носят в основном запретительный характер. Следующим после законодательного можно назвать управленческий уровень. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен сделать управленческий уровень, - это выработать политику безопасности, определяющую общее направление работ.

      Политика  безопасности – набор правил, определяющих, как организация обрабатывает, защищает и распространяет информацию.

     Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.

           Защита информации от несанкционированного воздействия - деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

     Зашита  информации от непреднамеренного воздействия - деятельность по предотвращению воздействия  на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

     Защищаемая  информация - информация, являющаяся предметом  собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

     Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели. 
 
 
 
 
 
 
 
 
 
 
 
 
 

СИСТЕМА ОРГАНИЗАЦИОННЫХ МЕР ЗАЩИТЫ КОНФИДЕНЦИАЛЬНЫХ СВЕДЕНИЙ

     Система защиты информации - совокупность органов  и/или исполнителей, используемая ими  техника защиты информации, а также  объекты защиты, организованные и  функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Необходимо  помнить о том, что информацию очень сложно сохранить, не дать ей уйти за пределы организации.

     К организационным мерам защиты информации и информационных систем относятся обеспечение особого режима допуска на территории (в помещении), где может быть осуществлен доступ к информации (к материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.

     Для защиты конфиденциальных документов и  предотвращения негативных последствий, которые могут возникнуть в результате проявления угроз, следует тщательно  продумать состав и порядок внедрения  мер, закладывающих основу конфиденциального делопроизводства.

      С появлением новых технологий (компьютеры и оргтехника) защитить информацию становиться все труднее. Для  того чтобы избежать утечки информации, составляющей тайну фирмы, создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением.

     Одним из первых мероприятий должно стать  создание подразделения конфиденциального  делопроизводства либо наделение определенного  сотрудника (группы сотрудников) функциями, аналогичным функциям службы конфиденциального делопроизводства.

     Начиная с момента создания системы конфиденциального  делопроизводства следует организовать непрерывный процесс обучения сотрудников  правилам защиты конфиденциальной информации.

      В связи с этим должно быть разработано  положение о службе конфиденциального делопроизводства, где будет отражен ее статус в структуре организации, численный и должностной состав и т.д.

      Служба  конфиденциального делопроизводства является составной частью системы  информационной защиты, органом осуществляющим, координирующим и контролирующим работу с конфиденциальными документами. Ее деятельность должна включать такие виды работ, как изготовление, учет, хранение, обработка и использование конфиденциальных документов, контроль за обеспечением сохранности и целостности содержащихся в них сведений и т.п. Служба конфиденциального делопроизводства может входить в состав службы открытого делопроизводства или службы безопасности (информационной безопасности) организации либо же напрямую подчиняться руководителю.

      На  службу конфиденциального делопроизводства должны быть возложены обязанности  по осуществлению либо, как минимум, контролированию всех операций, проводимых с защищаемыми документами. При  этом все операции следует проводить  отдельно от работ с докумен6тами открытого доступа, т.к. это позволит предупредить несанкционированный доступ к защищаемым сведениям посторонних лиц.

      Следующим шагом по организации системы  защиты конфиденциальной документированной  информации должна стать регламентация  обязанностей сотрудников по работе с конфиденциальными документами. В том числе следует закрепить за работников персональную ответственность за сохранность доверенного ему носителя и сохранение конфиденциальности содержащейся в нем информации. На должностных лиц дополнительно должна быть возложена ответственность за обоснованность отнесения документов к категории конфиденциальных, а также за выдачу разрешения на доступ к защищенным сведениям.

      Указанные обязанности целесообразно отразить в трудовом договоре (контракте), заключаемом с работником, либо в отдельном соглашении (обязательстве). При это рекомендуется оговорить условия сохранения конфиденциальности полученных сведений не только на период работы сотрудника в организации, но и на определенный срок после его увольнения. В случае утечки (разглашения) защищаемых сведений по вине этих сотрудников данное обязательство станет основой для привлечения их к ответственности.

      Обязанности работника в области защиты информации также должны найти свое отражение  в его должностной инструкции.

      Еще одним важным мероприятием при организации  системы защиты информации является составления перечня циркулирующих  в организации конфиденциальных документов. Выделение документов (их видов) из общего потока путем включения  в перечень конфиденциальных документов и их соответствующая маркировка позволяют налагать  ограничения на доступ и ознакомление с содержащейся в них информацией.

      Перечень  конфиденциальных документов должен основываться на составленном до этого перечне  циркулирующей в организации конфиденциальной информации (т.е. той, которая зафиксирована не только в документах, но отражается также в изделиях, технических средствах хранения, обработки, тиражирования и передачи информации и т.д.).

      Целью составления перечня  конфиденциальных документов является жесткая регламентация состава создаваемых конфиденциальных документов, направленная на предотвращение необоснованного и неконтролируемого их издания. Данная мера помогает предупредить увеличение видового разнообразия конфиденциальных документов, что позволит сократить число потенциальных источников утечки информации.

      Виды  создаваемых конфиденциальных документов необходимо устанавливать с учетом оптимального объема содержащейся в  них информации, исключающего избыточную, в том числе повторяющуюся, информацию, поскольку это создает дополнительную угрозу утечки защищаемых сведений.

      В перечне конфиденциальных документов закрепляется факт отнесения различной  документированной информации к  категории ограниченного доступа, определяется период и степень ее конфиденциальности, список сотрудников или их категорий, которые обладают правом установления ограничений на доступ к этим документам, правом создания, подписания (утверждения) конфиденциальных документов, ознакомления с ними и т.д.

      Определение категорий лиц, которым разрешен доступ к конфиденциальным документам, делам и базам данных, закладывает основу разрешительной системы доступа к документам и делам, обеспечивающей правомерное и санкционированное ознакомление с ними. Данная система должна базироваться на принципе избирательности, подразумевающем ограничение доступа персонала к конфиденциальным документам, делам и базам данных исключительно деловой, служебной или производственной необходимостью (т.е разрешения доступа сотрудников только к той информации, которая необходима для выполнения их функциональных обязанностей).